<!DOCTYPE html PUBLIC "-//W3C//DTD HTML 3.2 Final//EN">
<html>
<head>
<meta http-equiv="Content-Type" content="text/html; charset=utf-8">
<title>
Sertifikat SSL Dinamis
</title>
</head>
<body bgcolor="#ffffff">
<h1>Pilihan Dinamis Sertifikat SSL</h1>
	<p>
	OWASP ZAP memungkinkan anda secara transparan untuk mendekripsi koneksi SSL.
	Untuk bisa melakukannya, ZAP harus mengenkripsi setiap permintaan sebelum mengirim ke server dan mendekripsi setiap tanggapan yang kembali hadir.
	Namun, ini sudah dilakukan oleh peramban.
	Itulah kenapa hanya satu cara untuk mendekripsi atau mencegat transmisi yaitu dengan melakukan pendekatan 'man in the middle'.
	</p>


<h2>Ikhtisar</h2>
<p>
	<img alt="pria di tengah" src="../../../images/maninthemiddle.png">
</p>
<p>
	Singkat kata, setiap data yang dikirim dan diterima dari server yang dienkripsi/didekripsi dengan menggunakan sertifikat server asli di dalam ZAP. Cara ini, ZAP mengatahui teks polosnya.
	Untuk membuat sesi yang perlindungan SSL dari anda (peramban anda), ZAP akan menggunakan sertifikat itu sendiri. Inilah yang bisa anda buat.
	Setiap sertifikat yang dibuat oleh ZAP akan ditandatangani untuk nama server yang sama. Dalam contoh di atas, ZAP akan membuat sertifikat untuk nama server "www.example.com". Dengan cara ini, browser 
 Anda akan melakukan enkripsi SSL biasa.
</p>


<h2>ZAP sertifikat CA akar</h2>
<p>
	Bayangkan anda sedang mengunjungi beberapa SSL situs yang dilindungi. Setiap kali browser anda menghubugkan situs seperti itu, sertifikat SSL baru dibuat.
	Tetapi, sertifikat ini tidak dipercaya oleh siapapun (karena dibuat sendiri oleh ZAP).
	Dengan kata lain, browser anda tidak akan menerima sertifikat semacam itu terlebih dahulu.
	Anda mungkin terbiasa dengan situasi semacam itu, ketika browser anda mengeluh kesalahan sertifikat namun secara manual anda dapat membuat aturan pengecualian untuk server tersebut.  
</p>
<p>
	Setiap sertifikat yang diciptakan oleh ZAP di rantai kepercayaan
dari "ZAP Root CA" sertifikat. 
	(Untuk rincian lebih lanjut tentang rantai kepercayaan, gunakan mesin pencari favorit Anda ;-) ) Artinya, Anda (browser Anda) hanya harus mempercayai ZAP Root CA sekali, dan sertifikat lebih lanjut secara otomatis dipercaya. Dengan kata lain,
setelah Anda menambahkan sertifikat CA Root ZAP ke daftar terpercaya Anda
Root CAs, browser Anda tidak mengenal pria di tengah. 
</p>

<h3>Susun</h3>
<p>
	Jika anda menjalankan ZAP untuk pertama kalinya, anda harus membuat sertifikat Root CA terlebih dahulu.
	Setelah anda menghasilkannya, anda harus memasangnya dalam peramban atau aplikasi klien HTTP anda. Lihat bagian <a href="#install">installation</a> untuk rincian selengkapnya.
</p>
<p>
	Setiap sertifikat Root CA yang dihasilkan berlaku untuk satu tahun. Setelah periode itu Anda miliki
untuk membuat satu yang baru.<br>
Setiap sertifikat Root CA yang dihasilkan adalah 2048 bit strong (RSA dengan SHA1).<br>
Setiap sertifikat Root CA yang dihasilkan dimulai dengan nomor seri "1". 
	Setiap sertifikat Root CA yang dihasilkan terdiri dari pengenal berikut:
</p>
<p style="padding-left: 20pt;">
	<code>
	CN = OWASP Zed Menyerang Proxy Root CA<br>
	L = 87b77fe834b0a301<br>
	O = OWASP Root CA<br>
	OU = OWASP ZAP Root CA<br>
	C = XX<br>
	</code>
</p>
<p>
	Seperti yang anda lihat, ada sebuah identifier Lokasi (L) yang hanya sebuah angka heksadesimal.
	Nomor ini dibuat dari dua kode hash 32bit: nama pengguna dan direktori pengguna.
	Dengan cara ini anda dapat mengindentifikasi sertifikat anda ketika menggunakan beberapa instalasi.
	Tetapi tidak mungkin, siapa saja bisa mengatahui nama anda dari code hash ini.
</p>

<h3>Impor</h3>
<p>
	Bila anda menggunakan beberapa instalasi ZAP dan anda ingin menggunakan sertifikat Root CA yang sama, anda dapat mengimpornya. Cukup gunakan sebuah instalasi dari OWASP ZAP untuk menghasilkan sebuah sertifikat Root CA. <br>Salin berkas 'OWASP ZAP/config.xml' dari direktori beranda pengguna anda ke PC, di mana anda ingin menggunakan sertifikat yang sama dan tekan 'impor' untuk mengimpornya.
</p>
<p>
	Anda juga dapat mengimpor sertifikat yang tersimpan dalam file pem sepanjang asalkan keduanya disertakan 
sertifikat dan kunci pribadi yang tidak dienkripsi dalam format berikut:<br>
	<code><br>
-----AWAL SERTIFIKAT-----<br>
MIIC9TCCAl6gAwIBAgIJANL8E4epRNznMA0GCSqGSIb3DQEBBQUAMFsxGDAWBgNV<br>
BAoTD1N1cGVyZmlzaCwgSW5jLjELMAkGA1UEBxMCU0YxCzAJBgNVBAgTAkNBMQsw<br>
CQYDVQQGEwJVUzEYMBYGA1UEAxMPU3VwZXJmaXNoLCBJbmMuMB4XDTE0MDUxMjE2<br>
MjUyNloXDTM0MDUwNzE2MjUyNlowWzEYMBYGA1UEChMPU3VwZXJmaXNoLCBJbmMu<br>
MQswCQYDVQQHEwJTRjELMAkGA1UECBMCQ0ExCzAJBgNVBAYTAlVTMRgwFgYDVQQD<br>
Ew9TdXBlcmZpc2gsIEluYy4wgZ8wDQYJKoZIhvcNAQEBBQADgY0AMIGJAoGBAOjz<br>
Shh2Xxk/sc9Y6X9DBwmVgDXFD/5xMSeBmRImIKXfj2r8QlU57gk4idngNsSsAYJb<br>
1Tnm+Y8HiN/+7vahFM6pdEXY/fAXVyqC4XouEpNarIrXFWPRt5tVgA9YvBxJ7SBi<br>
3bZMpTrrHD2g/3pxptMQeDOuS8Ic/ZJKocPnQaQtAgMBAAGjgcAwgb0wDAYDVR0T<br>
BAUwAwEB/zAdBgNVHQ4EFgQU+5izU38URC7o7tUJml4OVoaoNYgwgY0GA1UdIwSB<br>
hTCBgoAU+5izU38URC7o7tUJml4OVoaoNYihX6RdMFsxGDAWBgNVBAoTD1N1cGVy<br>
ZmlzaCwgSW5jLjELMAkGA1UEBxMCU0YxCzAJBgNVBAgTAkNBMQswCQYDVQQGEwJV<br>
UzEYMBYGA1UEAxMPU3VwZXJmaXNoLCBJbmMuggkA0vwTh6lE3OcwDQYJKoZIhvcN<br>
AQEFBQADgYEApHyg7ApKx3DEcWjzOyLi3JyN0JL+c35yK1VEmxu0Qusfr76645Oj<br>
1IsYwpTws6a9ZTRMzST4GQvFFQra81eLqYbPbMPuhC+FCxkUF5i0DNSWi+kczJXJ<br>
TtCqSwGl9t9JEoFqvtW+znZ9TqyLiOMw7TGEUI+88VAqW0qmXnwPcfo=<br>
-----SERTIFIKAT AKHIR-----<br>
-----MULAI KUNCI PRIBADI-----<br>
MIICXgIBAAKBgQDo80oYdl8ZP7HPWOl/QwcJlYA1xQ/+cTEngZkSJiCl349q/EJV<br>
Oe4JOInZ4DbErAGCW9U55vmPB4jf/u72oRTOqXRF2P3wF1cqguF6LhKTWqyK1xVj<br>
0bebVYAPWLwcSe0gYt22TKU66xw9oP96cabTEHgzrkvCHP2SSqHD50GkLQIDAQAB<br>
AoGBAKepW14J7F5e0ppa8wvOcUU7neCVafKHA4rcoxBF8t+P7UhiMVfn7uQiFk2D<br>
K8gXyKpLcEdRb7K7CI+3i8RkoXTRDEZU5XPMJnZsE5LWgNQ+pi3HwMEdR0vD2Iyv<br>
vIH3tq6mNKgDu+vozm8DWsEP96jrhVbo1U1rzyEtX46afo79AkEA/VXanGaqj4ua<br>
EsqfY6n/7+MTm4iPOM7qfoyI4EppJXZklc/FbcV2lAjY2Jl9U6X7WnqCPn+/zg44<br>
6lKWTnhAawJBAOtmi6nw8WjY6uyXZosE/0r4SkSSo20EJbBCJcgdofKT+VCGB4hp<br>
h6XwGdls0ca+qa5ZE1a196dpwwVre0hm88cCQQDrUm3QbHmw/39uRzOJs6dfYPKc<br>
vlwz69jdFpQqrFRBjVlf4/FDx3IfjpxHj0RgiEUUxcnoXmh/8qwh1fdzCrbjAkB4<br>
afg/chTLQUrKw5ecvW2p9+Blu20Fsv1kcDHLb/0LjU4XNrhbuz+8TlmqstOMCrPZ<br>
j48o5+RLKvqrpxNlMeS5AkEA6qIdW/yp5N8b1j2OxYZ9u5O//BvspwRITGM60Cps<br>
yemZE/ua8wm34SKvDHf5uxcmofShW17PLICrsLJ7P35y/A== <br>
-----AKHIR KUNCI PRIBADI-----<br>
  	</code><br>
Dan ya, contoh itu akan berhasil - itu sertifikat Superfish!
</p>

<h3><a name="view">Tampilan</a></h3>
<p>
	Dalam dialog opsi dari ZAP kamu melihat mentah byte (heksadesimal dikodekan)
sertifikat. Opsi "view" mencoba untuk digunakan sistem default
melihat alat ".CER" file. Pada Windows, ini biasanya sama, saat mengekspor sertifikat dan mengklik dua kali di atasnya.
</p>

<h3>Simpan/Ekspor</h3>
<p>
	Dalam dialog opsi dari ZAP kamu melihat mentah byte (heksadesimal dikodekan)
sertifikat. Banyak program menggunakan format sederhana untuk fungsi impor/ekspor. Ketika klik 'export', ini byte disimpan ke disk.
	Ini sama seperti memilih semua dan melakukan CTRL+C (salin ke clipboard) dan simpan ke berkas .CER yang baru (yang merupakan teks sederhana seperti yang anda lihat di dialog).
</p>

<h2><a name="dynamic_certificates">Sertifikat dinamis</a></h2>
<p>
	Setiap instance ZAP menggunakan sertifikat root miliknya sendiri. Tentu saja, anda dapat mengimpor sertifikat root, untuk menggunakannya pada beberapa mesin.
	Ketikan dijalankan, disana akan ada sub-sertifikat yang dibuat, setiap kali sumber HTTPS diminta.
	Itu berarti, sertifikat Root CA digunakan sebagai penerbit.
</p>
<p>
	Setiap yang didapatkan secara dinamis sertifikat ini berlaku selama 1000 hari.<br>
Setiap yang didapatkan secara dinamis sertifikat 2048 bit yang kuat (RSA dengan SHA1).<br>
Setiap yang didapatkan secara dinamis sertifikat acak nomor seri. 
	Setiap sertifikat yang dihasilkan secara dinamis terdiri dari pengenal berikut:
</p>
<p style="padding-left: 20pt;">
	<code>
	CN = www.example.com<br>
	E = owasp-zed-attack-proxy@lists.owasp.org<br>
	C = XX<br>
	O = OWASP<br>
	OU = Zed Menyerang Proyek Proxy<br>
	</code>
</p>
<p>
	<i> Catatan pinggir: Setiap kali anda memulai ZAP, secara internal nomor seri acak offset akan dihasilkan.
		Setiap sertifikat yang dihasilkan secara dinamis akan menggunakan offset ini ditambah dengan counter yang meningkat. Contohnya, sertifikat dinamis pertama memiliki nomor seri 2314, yang kedua 2315, yang ketiga 2316 dan seterusnya.
		Alasan untuk ini adalah sederhana: browser juga caching sertifikat.
		Ketika anda merestart ZAP tapi jangan restart browser anda, itu bisa terjadi, browser melihat sertifikat yang sama namun dengan nomor seri yang berbeda.
		Pada akhirnya, browser akan mengeluhkan dan menolak sertifikat tersebut.
		Dengan menggunakan offset acak (internal 48bit nomor acak), kemungkinannya adalah 1 sampai 281.474.976.710.656 bahwa saat me-restart ZAP, nomor seri offset adalah yang berbeda.<br>
Jadi, dalam kasus yang jarang terjadi, Anda menemukan bahwa peramban Anda mengeluhkan nomor seri yang rusak di dalam sertifikat, cukup mulai ulang peramban Anda ;-)
</i>.
</p>

<h2><a name="install">Pasang sertifikat ZAP Root CA</a></h2>
<p>
	Setiap klien HTTPS yang ingin Anda gunakan, harus mengetahui sertifikat OWASP Root CA
sebagai 'sertifikat root terpercaya'. Biasanya anda harus menginstal secara manual
	ZAP sertifikat kepada browser anda daftar dari sertifikat akar terpercaya.
</p>
<h3>Windows / Penjelajah Internet</h3>
<p>
	Cara paling mudah adalah untuk klik pada <a href="#view">lihat</a> dan pilih
	'Instal sertifikat'. Alternatifnya, anda bisa menyimpan/mengekspor sertifikat yang anda buat (salin itu ke komputer target anda) dan klik dua kali berkas .CER. 
	Saat melakukannya, Windows biasa wizard untuk instalasi sertifikat
	bantuan poping up.
	Pada wizard ini pilihlah toko sertifikat secara manual. Jangan biarkan
Windows memilih secara otomatis toko sertifikat.
	Pilih 'trusted root certificate' sebagai toko dan selesaikan wizard.
</p>
<p>
	Setelah berhasil instalasi, anda bisa memeriksa sertifikatnya.
</p>
	<ol>
	<li>Pergi ke pilihan internet</li>
	<li>Konten tab</li>
	<li>Klik sertifikat</li>
	<li>Klik tab sertifikat akar terpercaya</li>
	<li>OWASP ZAP Root CA seharusnya ada di sana</li>
	</ol>

<h3>Mozilla Firefox</h3>
<p>
	Firefox menggunakan toko sertifikat itu sendiri. Itulah mengapa Anda harus melakukannya
impor dua kali, bila Anda menggunakan kedua browser pada windows.
	Instalasi dan keterlambatan dalam pengesahan dilakukan pada pilihan dialog yang sama:
</p>
	<ol>
	<li>Buka Preferensi</li>
	<li>Tab Lanjutan</li>
	<li>Tab Kriptografi/Sertifikat</li>
	<li>Klik Lihat Sertifikat</li>
	<li>Klik tab Otoritas</li>
	<li>Klik Import dan pilih diselamatkan <tt>owasp_zap_root_ca.cer</tt> file</li>
	<li>Di wizard memilih untuk mempercayai sertifikat ini untuk mengidentifikasi situs web (cek pada kotak-kotak)</li>
	<li>Menyelesaikan wizard</li>
	</ol>

<h2 style="color: red; font-weight: bold; text-decoration: underline;">Risiko</h2>
<p>
	<b>Perhatian, ada risiko!</b><br>
	Ketika menambahkan mandiri yang didapatkan Root CA sertifikat untuk kamu daftar terpercaya 
	sertifikat akar, semua orang dengan sertifikat root yang bisa menyelundupkan data
	ke dalam sistem kamu (browser).
	Dengan kata lain ketika anda tidak melakukan pengujian di lingkungan yang aman, namun pada mesin yang produktif, perhatikan bahwa anda akan membuka vektor serangan tambahan ke sistem anda.  
</p>

<h2>Lihat juga</h2>
<table>
<tr><td>&nbsp;&nbsp;&nbsp;&nbsp;</td><td>
<a href="certificate.html">Sertifikat</a></td><td>untuk sertifikat klien SSL</td></tr>
</table>

</body>
</html>
